– Når stadig flere enheter kobles til internett, øker sjansen for et digitalt angrep. Både typen angrep, kompleksiteten og størrelsen på angrepene øker hele tiden, forklarer Espen.
Selv om teknologi bidrar positivt for norske bedrifter, både gjennom effektivisering og kostnadsbesparelser, vil det også kreve en endring og omstilling i måten du jobber på.
– I den sammenheng tror jeg mange bedrifter glemmer noe av det viktigste, nemlig sikkerhetsaspektet, forklarer han.
Hva må du tenke på i forbindelse med IT-sikkerhet i bedriften din?
Unngå sikkerhetshull og hendelsesdrevet brannslukking
Ifølge sikkerhetssjefen tror mange ledere at ansvaret for IT-sikkerhet ligger i andres hender enn sine egne. Som regel foregår sikkerhetsarbeidet på en hendelsesdrevet måte hvor tiltak iverksettes når det oppdages brudd på sikkerheten.
Mørketallsundersøkelsen som kartlegger IT-tilstanden i privat og offentlig næringsliv, oppsummerte 2022 slik:
- Det systematiske arbeidet med digital sikkerhet har stagnert hos de store virksomhetene og gått noe tilbake i de mindre.
- En stor andel hendelser oppdages ved en tilfeldighet uten at virksomhetene synes å ha en klar formening om når hendelsen inntraff eller den faktiske årsaken til hendelsen.
- Av reaktive tiltak som fremheves av respondentene etter en hendelse ser vi en god balanse mellom teknologiske-, organisatoriske og menneskelige tiltak.
- To tredjedeler av virksomhetene involverer ledelsen og styre når en hendelse inntreffer.
Hovedinntrykket er at arbeidet med digital sikkerhet fortsatt er hendelsesdrevet, men det siste punktet gir grunn til optimisme. Ledelsesforankring er en forutsetning, men ikke i seg selv tilstrekkelig, for systematisk proaktivt arbeid med digital sikkerhet i norske virksomheter.
Slik lykkes du med endringsledelse.
Intern opplæring om datasikkerhet har stor betydning!
– Norske ledere mangler både den kunnskapen og kompetansen som kreves for å kunne analysere farer på nettet. De vet derfor heller ikke hvilken risiko de tar på vegne av selskapet. Det utgjør en fare for at de prioriterer feil og sensitiv data kommer på avveie.
Sikkerhetsbevisstheten til ansatte i norske virksomheter er generelt lav.
Drøyt halvparten av virksomheter med fem ansatte eller flere, har i løpet av det siste året gjennomført tiltak for å øke de ansattes bevissthet rundt sikkerhet.
Når menneskelige feil som for eksempel å trykke på lenker i e-poster utgjør hele 37 prosent av årsakene til hendelsene, tilsier dette at virksomheter fremdeles må jobbe med holdningsskapende arbeid rundt sikkerhet. Dette skjer best gjennom intern opplæring, e-læring og kampanjer. Opplæringen bør skje med jevne mellomrom for holde bevisstheten oppe. Bruk av to-faktor autentisering er også sterkt anbefalt for å redusere antallet vellykkede sikkerhetshendelser.
– Tallene vitner om at sikkerhet ikke har høy nok prioritet i norske bedrifter. Alle bedriftsledere bør som minimum sørge for at alle ansatte har grunnleggende kompetanse i IT-sikkerhet. Alle trenger ikke å forstå alt, men alle trenger å forstå det grunnleggende, slik som for eksempel gode passordrutiner, sier Espen.
Alt du trenger å vite om IT-sikkerhet i bedriften
Sikkerhet for bedriften i skyen
Utfordringene med skybaserte systemer og IT-sikkerhet betyr ikke at du skal unngå å gå til skyen. Heller tvert om. Det handler rett og slett om at du må skaffe den rette kompetansen som følger opp bedriftens IT-sikkerhet på en ivaretakende måte som følger alle lover og regler.
– Bedrifter er ofte skeptiske til skybaserte systemer, dessverre uten grunn. Skyen gir nemlig store muligheter til å forbedre IT-sikkerheten i bedriften. Skytjeneste-leverandører kan bruke de mest avanserte beskyttelsesmekanismene som finnes på markedet. Det er mye mer enn du klarer å håndtere på egenhånd, sier Espen.
Han påpeker at dette er særlig viktig for mindre bedrifter som ikke har ressurser eller spesialkompetanse internt.
– Det er utrolig komplisert å drive en skytjeneste som skal være tilgjengelig, sikker og stabil. Det krever spesialistkompetanse og kontinuerlig oppfølging. Mitt beste råd til bedrifter er derfor å la noen andre enn deg selv ta hovedansvaret for denne jobben, oppfordrer han.
Hackere hjelper med å finne sikkerhetshull
I likhet med mange store selskaper verden over, som Google og Amazon, har Visma åpnet opp for at dyktige hackere rundt om i verden kan utfordre Vismas systemer og programvare, gjennom å lete etter sårbarheter. Når hackerne oppdager sårbarhet, må de rapportere dette gjennom Vismas BugBounty-program. Hackere som ikke er en del av Vismas Bug Bounty-program, kan rapportere sine funn. Visma forplikter seg til å fikse sårbarhetene hackerne eventuelt avdekker.
– Man må skille mellom hackere med dårlige intensjoner, og hackere med gode intensjoner. Sistnevnte er eksperter på IT og data, og har en helt unik kompetanse som bedrifter verden over er avhengig av, sier Espen.
Velg en leverandør som tar sikkerhet på alvor
Hvor dataene dine befinner seg er ikke avgjørende. Sikkerhetsrutiner knyttet til hvordan dataene behandles er derimot avgjørende.
Derfor valgte Apotekforeningens IT-sjef denne ERP-løsningen
Mange bedrifter tror at det er plasseringen av bedriftens data som er avgjørende, men i virkeligheten er det prosedyrer knyttet til sikkerhet og behandlingen av data og bedriftens infrastruktur som er det viktigste. Ved å velge riktig leverandør, kan du redusere sikkerhetsrisikoen til et minimum.
– Sørg alltid for å velge en leverandør som tar IT-sikkerhet på alvor. Du må kunne stole på at din leverandør vil gjøre alt som står i sin makt for å beskytte deg, og også alltid fortelle deg det hvis noe galt skulle skje.
IT-sikkerhet
